Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Windows 11
- Android
Настройте группирование времени регистрации, чтобы ускорить подготовку приложений и политик во время регистрации устройства. С помощью группирования времени регистрации можно добавить Microsoft Entra группу безопасности в профиль регистрации, чтобы устройства добавлялись в группу во время регистрации, а не после. Затем вы можете назначить группе необходимые приложения и конфигурацию политики. Это предварительное представление о группе безопасности, в которую устройство станет членом после регистрации, позволяет Intune быстро доставлять конфигурации на устройство при регистрации, уменьшая задержки после регистрации и повышая производительность.
Если не настроить группирование времени регистрации, зарегистрированные устройства группируются на основе свойств инвентаризации и идентификаторов тегов групп. Затем Microsoft Intune предоставляет приложения и политики на основе членства в группах. Microsoft Intune может определять приложения и политики, необходимые устройству только после группировки устройства, поэтому устройства, сгруппированные таким образом, часто не готовы к немедленному использованию. Получение всех приложений и политик может занять до 8 часов после регистрации устройств.
В этой статье приводятся общие сведения о группирования времени регистрации, способах его настройки и ограничениях функций.
Требования
Группирование времени регистрации поддерживается на устройствах, подготовленных с помощью:
Для Windows Autopilot необходимо иметь разрешения на создание и изменение политик подготовки устройств Windows Autopilot. Чтобы настроить Microsoft Entra группы в профиле регистрации, необходимо иметь разрешение на назначение членства устройства во время регистрации. Это разрешение доступно для пользовательских ролей в категории Программы регистрации в Центре администрирования Microsoft Intune.
Для Android Enterprise необходимо иметь разрешения на создание и изменение профилей регистрации Android Enterprise. Чтобы настроить Microsoft Entra группы в профиле регистрации Android, необходимо иметь назначение членства устройства во время регистрации для разрешения Android Enterprise. Это разрешение доступно для пользовательских ролей в категории Android Enterprise в Центре администрирования Microsoft Intune. Группирование времени регистрации поддерживается со следующими профилями регистрации:
Полностью управляемый Android Enterprise
Корпоративный рабочий профиль Android Enterprise
Выделенные устройства Android Enterprise
Совет
Дополнительные сведения о создании пользовательских ролей см. в разделе Управление доступом на основе ролей.
Чтобы добавить приложение Intune первой стороны в качестве владельца группы безопасности, что является обязательным шагом для группирования времени регистрации, необходимо выполнить одно из следующих предварительных требований:
- Должен быть администратором группы Microsoft Entra или другой ролью с разрешением microsoft.directory/groups/owners/update.
- Должен быть владельцем группы безопасности Microsoft Entra.
Наконец, указанная группа должна быть настроена в качестве область группы, чтобы администратор использовал ее в конфигурации группирования времени регистрации.
Шаг 1. Создание группы безопасности Microsoft Entra
Создайте статическую Microsoft Entra группу безопасности для использования в профилях регистрации. Чтобы настроить группирование времени регистрации, необходимо добавить клиент подготовки Intune в качестве владельца группы безопасности. Вам не нужно добавлять устройства или пользователей в эту группу прямо сейчас.
В следующей процедуре описывается создание группы безопасности в Центре администрирования Microsoft Intune. Дополнительные сведения и действия, относящиеся к Windows 11, см. в статье Windows Autopilot — создание группы устройств.
После настройки группирования времени регистрации в профиле регистрации вы можете вернуться к этой группе безопасности, чтобы добавить и удалить устройства. Любой администратор Intune с соответствующими разрешениями группы безопасности может изменить группу безопасности.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в раздел Группы.
Выберите Все группы, а затем — Создать группу.
На открывавшемся экране Создать группу введите следующие сведения:
Тип группы: выберите Безопасность.
Имя группы. Введите имя группы устройств. Пример. Общие устройства инвентаризации
Описание группы. Введите описание для группы устройств.
Microsoft Entra роли могут быть назначены группе: выберите Нет.
Тип членства: выберите Назначено.
Владельцы. Выберите ссылку Нет выбранных владельцев .
На открываемом экране Добавление владельцев добавьте клиент подготовки Intune в качестве владельца:
Прокрутите список объектов и выберите клиент подготовки субъекта-службы Intune с идентификатором AppId f1346770-5b25-470b-88bd-d5744ab7952c. Кроме того, используйте панель поиска , чтобы найти и выбрать Клиент подготовки Intune.
Примечание.
В некоторых клиентах субъект-служба может иметь имя Intune Autopilot ConfidentialClient вместо клиента подготовки Intune. Если appID субъекта-службы имеет значение f1346770-5b25-470b-88bd-d5744ab7952c, это правильный субъект-служба.
Если клиент подготовки Intune или субъект-служба Intune Autopilot ConfidentialClient с идентификатором AppId f1346770-5b25-470b-88bd-d5744ab7952c недоступен в списке объектов или при поиске, см. статью Добавление субъекта-службы клиента подготовки Intune .
Нажмите Выбрать.
Нажмите кнопку Создать , чтобы завершить создание назначенной группы устройств.
Шаг 2. Настройка группирования времени регистрации в профиле регистрации
Функция группирования времени регистрации применяется только к регистрации новых устройств. Это не влияет и не применяется к уже зарегистрированным устройствам.
Вы можете добавить одну статическую Microsoft Entra группу безопасности для каждого профиля регистрации. Администратор Intune может добавлять только Microsoft Entra группы, авторизованные в группе область для вашей роли Intune. Убедитесь, что область группы и теги групп назначены соответствующим ролям, чтобы администраторы могли видеть группу безопасности во время создания профиля.
В Центре администрирования Microsoft Intune перейдите в раздел Устройства.
Разверните узел Подключение устройств, а затем выберите Регистрация.
Выберите тип настраиваемой регистрации и создайте профиль.
Windows: создание политики подготовки устройств Windows Autopilot
Android Enterprise с рабочим профилем: настройка регистрации в Intune корпоративных устройств Android Enterprise с рабочим профилем
Выделенный android enterprise: настройка регистрации в Intune выделенных устройств Android Enterprise
Android Enterprise полностью управляемый: настройка регистрации для полностью управляемых устройств Android Enterprise
Совет
Группирование времени регистрации не поддерживается с промежуточным маркером. Если вы настраиваете профиль для использования с группировкой времени регистрации, используйте корпоративный, полностью управляемый маркер (по умолчанию) или корпоративный рабочий профиль (по умолчанию).
После сохранения профиля вы можете в любое время вернуться к нему, чтобы изменить параметры группы. Обновления, которые вы вносите в параметры группы, не применяются к устройствам, уже зарегистрированным в профиле. При удалении устройства из группы Microsoft Intune повторно оценивает конфигурации политик и принудительно проверка устройства для получения новых конфигураций.
Шаг 3. Регистрация устройств
Когда устройствам назначена регистрация профиля регистрации, они становятся членами Microsoft Entra группы безопасности и начинают получать приложения и политики. После завершения начальной настройки устройства администратор или конечный пользователь приземлится на начальном экране устройства. На этом этапе все целевые приложения и политики должны уже находиться на устройстве или в процессе установки.
При удалении устройства из группы Microsoft Intune повторно оценивает конфигурации политик и принудительно проверка устройства для получения новых конфигураций.
Reporting
Чтобы получить доступ к отчетам о группировке времени регистрации, перейдитекразделу Сбои группирования времени регистрации длямониторинга> устройств>. В доступном отчете отображаются только сбои. В частности, сведения об устройствах, которые не смогли стать членами определенной статической группы устройств во время этих процессов настройки:
- Подготовка Windows Autopilot
- Полностью управляемая регистрация для Android Enterprise
- Регистрация корпоративного рабочего профиля Android Enterprise
- Выделенная регистрация Android Enterprise
Для отображения недавно обновленных сведений в отчете может потребоваться до 20 минут. Для просмотра отчета необходимо иметь разрешение Microsoft.Intune/ManagedDevices/Read RBAC.
Важно!
Этот отчет содержит сведения об устройствах, которые не могут быть добавлены в группы безопасности, настроенные в профилях регистрации. Сбой при присоединении к группе во время регистрации может привести к изменению конфигурации или удалению с устройства после регистрации, поэтому рекомендуется постоянно отслеживать отчет, чтобы можно было сразу же принять необходимые меры по устранению рисков. Например, можно использовать пользовательское приложение, которое сканирует данные отчета по обычному расписанию. Затем приложение создает уведомление при поиске новых устройств в отчете.
Известные проблемы и ограничения
С группировкой времени регистрации не существует известных проблем или ограничений.
Устранение неполадок
При возникновении непредвиденного поведения обратитесь к служба поддержки Майкрософт со следующими сведениями:
- Серийный номер устройства.
- Корпоративный портал журналы приложений, если применимо, с идентификатором журнала.
- Приблизительная отметка времени события и часового пояса, в котором оно произошло.
- Снимок экрана центра администрирования Microsoft Intune или устройства.
- Подробное описание поведения на устройстве.